แฮกเกอร์ซ่อนตัวอยู่เบื้องหลังบล็อกเชน: แรนซัมแวร์ใหม่หลบเลี่ยงการจับกุม

DeadLock ransomware พึ่งพาสัญญาอัจฉริยะบน Polygon เพื่อสร้าง proxy servers ให้สามารถสร้างโครงสร้างพื้นฐานที่แทบจะไม่สามารถปิดได้

ภัยคุกคาม ransomware ที่เปิดเผยโดยบริษัทความปลอดภัยไซเบอร์ Group-IB ใช้เทคโนโลยีบล็อกเชนเป็นช่องโหว่ DeadLock พึ่งพาสัญญาอัจฉริยะบน Polygon เพื่อควบคุม proxy servers โดยการเลี่ยงการป้องกันด้านความปลอดภัยแบบเดิมๆ

Group-IB ได้เผยแพร่โพสต์บน X ระบุว่า ransomware ใช้สัญญาอัจฉริยะบน Polygon เพื่อสร้าง proxy addresses เป็นเทคนิคที่ไม่โดดเด่นและไม่ได้รับรายงานมากนัก แต่มีประสิทธิภาพสูงในการเลี่ยงการปฏิบัติตามโปรโตคอลด้านความปลอดภัยแบบเดิมๆ

บล็อกเชนกลายเป็นโครงสร้างพื้นฐานอาชญากรรม

DeadLock เปิดตัวในกรกฎาคม 2025 และรักษาความลับไว้ได้อย่างน่าประหลาดใจ ไม่มีเว็บไซต์ข้อมูลรั่วไหลสาธารณะ ไม่มีลิงก์โปรแกรมพันธมิตร และจำนวนเหยื่อก็มีจำกัดเพื่อให้การเปิดเผยข้อมูลเป็นไปอย่างน้อยที่สุด

การสืบสวนโดย Group-IB เผยกลยุทธ์ใหม่ เมื่อระบบถูกเข้ารหัสแล้ว ransomware จะสืบค้นสัญญาอัจฉริยะ Polygon พิเศษที่เก็บ proxy addresses เดิมไว้ ซึ่งอนุญาตให้ผู้โจมตีและเหยื่อสื่อสารกันผ่าน proxy เหล่านี้

โซลูชันบล็อกเชนมีจุดแข็งสำคัญคือ ผู้โจมตีสามารถเปลี่ยน proxy addresses ได้แบบเรียลไทม์ โดยไม่จำเป็นต้องปล่อย malware ใหม่ ทำให้ทีมป้องกันแทบจะเป็นไปไม่ได้ที่จะหยุดยั้ง

การหมุนเวียนสัญญาอัจฉริยะที่ตรวจจับได้ยาก

เซิร์ฟเวอร์คำสั่งและควบคุมแบบเดิมๆ มีช่องโหว่ที่สามารถถูกบล็อกโดยหน่วยงานด้านความปลอดภัยและยึดคืนได้โดยเจ้าหน้าที่ตำรวจ DeadLock จัดการกับจุดอ่อนเหล่านี้

ข้อมูลถูกเก็บไว้บน chain ข้อมูลในสัญญาถูกเก็บโดยโหนดแบบกระจายทั่วโลก ทำให้ไม่มีเซิร์ฟเวอร์กลางที่สามารถปิดได้ และโครงสร้างพื้นฐานก็มีความทนทานสูง

Group-IB พบโค้ด JavaScript ในไฟล์ HTML ซึ่งจะทำการ query สัญญาอัจฉริยะบนเครือข่าย Polygon และดึง proxy URLs ออกมาอัตโนมัติ เพื่อส่งข้อความ routing ไปยังผู้โจมตีผ่าน addresses เหล่านั้น

วิวัฒนาการจากการเข้ารหัสง่ายๆ สู่บล็อกเชน

ตัวอย่าง DeadLock รุ่นแรกสุดถูกเผยแพร่ในมิถุนายน 2025 และมีเพียงบันทึกเรียกค่าไถ่ที่กล่าวถึงการเข้ารหัสไฟล์เท่านั้น เวอร์ชันต่อมามีความซับซ้อนมากขึ้น

ในเดือนสิงหาคม 2025 ได้เพิ่มคำเตือนเกี่ยวกับการขโมยข้อมูลอย่างชัดเจน มีความเสี่ยงที่ข้อมูลที่ถูกขโมยจะถูกขายโดยผู้โจมตี ซึ่งทำให้เหยื่อต้องเผชิญกับทางเลือก: พวกเขามีไฟล์ที่เข้ารหัสแล้ว และอาจเสี่ยงต่อการรั่วไหลของข้อมูล

โมเดลใหม่มาพร้อมกับบริการเสริม คำรายงานด้านความปลอดภัยระบุว่าการละเมิดจะเกิดขึ้นอย่างไร และผู้โจมตีจะไม่สัญญาว่าจะเป้าหมายใครในอนาคต เพื่อให้แน่ใจว่าข้อมูลจะถูกทำลายอย่างสมบูรณ์เมื่อได้รับการชำระเงิน

การวิเคราะห์เชิงธุรกรรมเผยแพร่รูปแบบโครงสร้างพื้นฐาน: กระเป๋าเงินหนึ่งใบสร้างสัญญาอัจฉริยะหลายรายการ และที่อยู่เดียวกันให้ทุนสนับสนุนการดำเนินการเหล่านั้นบนแพลตฟอร์ม FixedFloat การแก้ไขสัญญาเกิดขึ้นระหว่างเดือนสิงหาคมถึงพฤศจิกายน 2025

เทคนิคคล้ายกันได้รับความนิยมทั่วโลก

แฮกเกอร์เกาหลีเหนือเป็นกลุ่มแรกที่ใช้เทคนิคคล้ายกัน และกลุ่ม Threat Intelligence ของ Google ได้บันทึกเทคนิค EtherHiding ซึ่งเป็นที่รู้จักในเดือนกุมภาพันธ์ 2025

EtherHiding ฝังโค้ดในสัญญาอัจฉริยะในบล็อกเชนด้วยโค้ดอันตราย Payloads เหล่านี้ถูกเก็บไว้ในสมุดบัญชีสาธารณะเช่น Ethereum และ BNB Smart Chain และเหลือร่องรอยน้อยมาก

นักสืบของ Group-IB สังเกตเห็นความชำนาญของ DeadLock ซึ่งแสดงให้เห็นถึงความสามารถที่เปลี่ยนแปลงไปของอาชญากร ผลกระทบในปัจจุบันที่ต่ำซ่อนความเป็นไปได้ในอนาคตที่เป็นภัยคุกคาม

เหยื่อถูกทิ้งไว้กับไฟล์ที่เข้ารหัสพร้อมนามสกุล .dlock รวมถึงวอลเปเปอร์หน้าต่างที่ถูกแทนที่ด้วยข้อความเรียกค่าไถ่ ไอคอนระบบถูกแก้ไขทั้งหมด และการควบคุมอย่างต่อเนื่องถูกให้ผ่านซอฟต์แวร์ระยะไกล AnyDesk

สคริปต์ PowerShell ลบ shadow copies และหยุดบริการ เพื่อเพิ่มประสิทธิภาพของการเข้ารหัส ทำให้การกู้คืนเป็นไปได้ยากโดยไม่มีคีย์ถอดรหัส

การติดตามโครงสร้างพื้นฐานเผยแพร่รูปแบบ

การวิเคราะห์ proxy servers ในอดีตเผยข้อมูลสำคัญ เว็บไซต์ WordPress การตั้งค่า cPanel และ Shopware ถูกบุกรุกและใช้ในการรัน proxy ด้วยโครงสร้างพื้นฐานในช่วงแรก ปัจจุบันเซิร์ฟเวอร์ล่าสุดถูกกำหนดให้เป็นโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี

เซิร์ฟเวอร์ล่าสุดสองเครื่องมี fingerprint SSH เหมือนกันและใบรับรอง SSL คล้ายกัน ทั้งคู่รองรับแผงควบคุม Vesta และเซิร์ฟเวอร์เว็บ Apache รองรับคำขอ proxy

การดำเนินการอ่านอย่างเดียวบนบล็อกเชนเป็นบริการฟรี ผู้โจมตีไม่ต้องเสียค่าธรรมเนียมธุรกรรมใดๆ และโครงสร้างพื้นฐานก็ดูแลรักษาได้น้อยที่สุด

Group-IB ได้ตรวจสอบธุรกรรมไปยังสัญญาอัจฉริยะ การถอดรหัสข้อมูลอินพุตเผยที่อยู่ proxy ในอดีต และใช้เมธอด setProxy เพื่ออัปเดตที่อยู่เหล่านั้น

ไม่มีช่องโหว่ของ Polygon ที่ถูกใช้ประโยชน์

นักวิจัยชี้ให้เห็นว่า DeadLock ไม่พบช่องโหว่ใดในแพลตฟอร์ม Polygon ไม่สามารถใช้ประโยชน์จากช่องโหว่ของโปรโตคอล DeFi หรือแทรกแซงกระเป๋าเงินหรือสะพานเชื่อมได้

วิธีการนี้ใช้ความเป็นสาธารณะของบล็อกเชน ข้อมูลที่ไม่เปลี่ยนแปลงเป็นโครงสร้างพื้นฐานที่สมบูรณ์แบบ และข้อมูลของสัญญาก็พร้อมใช้งานเสมอ ปัญหาเรื่องการกระจายทางภูมิศาสตร์ก็ทำให้การบังคับใช้กฎหมายซับซ้อนขึ้น

ไม่มีภัยคุกคามโดยตรงต่อผู้ใช้ Polygon และไม่มีภัยคุกคามด้านความปลอดภัยต่อผู้พัฒนา แคมเปญนี้เฉพาะเจาะจงกับระบบ Windows เท่านั้น บล็อกเชนถูกใช้เป็นโครงสร้างพื้นฐานเท่านั้น

เทคนิคการเข้าถึงล่วงหน้าแรกสุดถูกค้นพบโดย Cisco Talos CVE-2024-51324 อนุญาตให้เข้าใช้งาน ช่องโหว่ใน Baidu Antivirus อนุญาตให้หยุดกระบวนการ ซึ่งทำให้ระบบตรวจจับปลายทางไม่มีประสิทธิภาพในเวลาสั้น